SPIRALマネージドクラウドの記事
ARTICLEWordPressの脆弱性とは?今すぐできるセキュリティ対策
WordPressの脆弱性とは、セキュリティ上の欠陥です。脆弱性を放置しておくと、自サイトに不正アクセスされる危険性があります。この記事では、WordPressの脆弱性が狙われる理由やセキュリティ対策について解説します。
目次
増加するWordPressを狙った攻撃
WordPressが外部から攻撃を受ける事例が増えています。サービス&セキュリティ株式会社の調査によると、2021年2月から5月にかけてWordPressを狙った攻撃回数が2倍以上に増えました。
WordPressのセキュリティプラグインを提供しているDefiant株式会社も攻撃通信が増加したことを公表しています。2021年の12月7日から9日にかけて、160万以上のWordPressサイトが攻撃されました。狙われたのはプラグインの脆弱性です。
WordPressが攻撃されることで、コンテンツの改ざんや乗っ取り、不正な情報取得などさまざまな悪影響が考えられます。
WordPressの脆弱性とは
冒頭でも触れた通り、WordPressの脆弱性とは、セキュリティ上の欠陥を表します。プログラムのエラーやバグが弱点となり、外部から攻撃を受けやすくなるのです。
プログラム開発者は、設計や実装の段階で不具合が起きないよう細心の注意を払っています。しかし、まったくバグがないプログラムを作成するのは不可能です。
あらゆるプログラムは何かしらのバグがあるもの。小さな弱点が脆弱性となり、悪質な攻撃の標的にされます。
WordPressの脆弱性が狙われる理由
WordPressの脆弱性が狙われる理由は主に以下の3つです。
- ユーザー数が多い
- プログラムの内容が公開されている
- 誰でもWebサイトを作れる
専門的な知識がなくてもWebサイトを開設できるのがWordPressの良いところです。一方で誰でも自由に扱える分、悪意のある攻撃を受けやすいことを忘れてはいけません。
上記3つが狙われる理由を詳しく見ていきましょう。
ユーザー数が多い
WordPressのユーザー数は非常に多いのが特徴です。WordPressサービスを提供するkinstaによると、市場シェア率は以下の通りでした。
- 全Webサイト:43%
- 全CMS:65%
WordPressのシェア率は全CMSのうち65%です。他のCMSは数%しかシェアされておらず、世界中でWordPressが最も多く使用されています。
CMSとはコンテンツマネジメントシステムの略称です。HTMLなど専門知識がなくても、Webコンテンツを作成できるシステムを指します。
ユーザー数が多いと、脆弱性が狙われた際に悪影響を受ける人数も増大します。例えば特定のプラグインが標的にされた場合、同じものを使用しているユーザーは全て攻撃対象です。
プログラムの内容が公開されている
WordPressのプログラム内容が公開されています。オープンソースと呼ばれており、プログラミングの知識があれば誰でも編集できるのが特徴です。
一方で、悪意のある攻撃対象になりやすいのがオープンソースのデメリット。コンテンツの改ざんなど、不正利用されやすくなります。
誰でもWebサイトを作れる
WordPressを使えばほとんどの人がWebサイトを開設できます。サイトを開設するだけなら、難しい知識は必要ありません。
勉強しなくてもWebサイトを運営できますが、セキュリティ対策は甘くなりがちです。特にWebサイト初心者は、セキュリティ対策の知識を持ち合わせていないケースが多くあります。
WordPressの脆弱性で危険なポイント
WordPressの脆弱性で危険なポイントは以下の3つです。少しでも欠陥があれば攻撃を受ける可能性が高まります。
- WordPress本体
- WordPressテーマ
- WordPressプラグイン
脆弱性はプログラムが存在する場所に生じるものです。
それぞれの開発者は設計や実装ミスがないよう注意を払っています。しかし、バグを完全になくすことはできません。
脆弱性は狙われやすいことを前提に、しっかりセキュリティ対策を施しておくのが大切です。続けて具体的なセキュリティ対策を解説します。
WordPressの脆弱性に対するセキュリティ対策
WordPressを安心して利用するためには、セキュリティ対策が欠かせません。今すぐ実行すべき対策は以下の7つです。
- WordPress・テーマ・プラグインを最新バージョンにする
- ログインパスワードを複雑に設定
- ニックネームを設定
- セキュリティ系のプラグインを導入
- 使わないプラグインを削除
- ログインページのURLを変更
- レンタルサーバーのセキュリティ機能を活用
WordPress・テーマ・プラグインを最新バージョンにする
WordPressの脆弱性で狙われやすい以下の3つを最新バージョンに更新しましょう。
- WordPress本体
- WordPressテーマ
- WordPressプラグイン
最新バージョンが公開されたら、できるだけ早くアップデートするのがポイントです。バージョンアップには脆弱性への対応が含まれています。
最新バージョンにアップデートしないのは弱点を放置している状態です。いつ攻撃を受けてもおかしくありません。
ただし、アップデートによりテーマやプラグインが使えなくなる可能性もあります。WordPress本体が最新バージョンでも、テーマやプラグインが古く互換性がないケースもあるからです。
WordPress本体より先にテーマとプラグインをアップデートしましょう。不具合が起きたときに備えるため、アップデート前には必ずバックアップを取るのが大切です。
更新が必要なプログラムは、WordPress管理画面で確認できます。画面左側メニューの「更新」に数字が記載されていれば、更新すべきプログラムがあるということ。脆弱性を放置しないよう、定期的にチェックしましょう。
ログインパスワードを複雑に設定
WordPressのログインパスワードを複雑に設定します。以下の要素を盛り込んだパスワードがおすすめです。
- 英数字、小文字、大文字、記号を混ぜる
- 簡単に思い浮かぶパスワードにしない
- できるだけ長くする
パスワードを複雑にするため、さまざまな文字を混ぜましょう。「12345」など規則性のあるパスワードは避け、想定されにくい並びにします。
手当たり次第に入力して不正ログインされないよう、できるだけ長いパスワードにするのも有効な対策です。
パスワードは以下の手順で自動生成されます。
- 画面左側メニューの「ユーザー」をクリック
- 「プロフィール」をクリック
- 「アカウント管理」の「新しいパスワードを設定」を選択
- プロフィールを更新
自動生成された文字列を変更すれば、自分で考えたパスワードを設定することも可能です。
ニックネームを設定
ニックネーム設定を忘れてはいけません。ユーザー名が筒抜けになってしまいます。
WordPressでは記事末尾の投稿者名などに、ニックネームが表示されます。しかし初期設定では、ログイン時に使われる「ユーザー名」が表示される仕組みです。
ユーザー名とは別にニックネームを設定しなければ、ログイン情報が筒抜けになるということ。機密情報を守るため、WordPressインストール後は以下の手順でニックネームを設定しましょう。
- 画面左側メニューの「ユーザー」をクリック
- 「プロフィール」をクリック
- ニックネームを設定
- 「ブログ上の表示名」をニックネームに変更
- プロフィールを更新
セキュリティ系のプラグインを導入
セキュリティ系のプラグインを導入するのもおすすめです。導入するだけで基本的なセキュリティ対策を行えます。
おすすめのプラグインは「SiteGuard WP Plugin」。ログインページのURL変更やログイン時の画像認証追加など、不正アクセスを徹底的にブロックしてくれます。
更新すべきプログラムがあればメールで通知されるため、アップデートを忘れることはありません。
使わないプラグインを削除
現在使っていないプラグインは削除しましょう。プラグインの数だけ攻撃を受ける確率が高まるからです。
使用していないプラグインは2通りあります。
- 有効化しているものの使用していない
- 無効化状態になっている
WordPressプラグインは便利なものばかりですが、セキュリティ対策上増やしすぎるのは良くありません。必要最低限のものだけ厳選して利用しましょう。
ログインページのURLを変更
WordPressのログインページを変更するのも効果的なセキュリティ対策です。初期のログインページは以下の通り法則があるので、ドメイン名がわかれば誰でもアクセスできます。
“https://ドメイン名//wp-login.php”
WordPress本体にはログインページのURLを変更する機能がありません。「SiteGuard WP Plugin」を導入すれば、自動で新しいログインページのURLを生成してくれます。
レンタルサーバーのセキュリティ機能を活用
レンタルサーバーのセキュリティ機能も活用しましょう。WordPress側のセキュリティ対策だけでは不十分なケースがあるからです。
具体的には以下の対策ができます。
| セキュリティ対策 | 内容 |
|---|---|
| ログイン回数制限 | 一定回数ログインに失敗するとロックがかかる |
| SSL化 | 通信を暗号化する |
| WAF・IPS | 攻撃検知、通信遮断 |
レンタルサーバーによって無料・有料が異なるものです。まずはレンタルサーバーにどのような機能が搭載されているか確認してみてください。
WordPressの脆弱性が狙われた主な攻撃事例
WordPressの脆弱性が狙われた主な攻撃事例を以下で3つ紹介します。
- SQLインジェクション
- コンテンツインジェクション
- クロスサイトスクリプティング
SQLインジェクション
SQLインジェクションとはデータベースに侵入されることです。データベースには重要な情報が詰まっています。個人情報を格納したデータベースに侵入された場合、流出は避けられません。
コンテンツインジェクション
コンテンツインジェクションとはコンテンツを改ざんされることです。以下のようなコンテンツの書き換えや不正挿入が該当します。
- 文章
- 画像
- リンク
知らないうちに自サイトから有害サイトへリンクを貼られているケースも。サイトに訪れたユーザーへ不利益を与える可能性があります。
クロスサイトスクリプティング
クロスサイトスクリプティングとは不正なプログラムを組み込まれることです。サイトに訪れたユーザーがリンクを踏み、悪意のあるサイトへ誘導されます。
誘導先のサイトでマルウェアに感染したり個人情報を盗み取られたりします。
WordPressの脆弱性を調べる方法
WordPressの脆弱性は無料・有料サービスを使って調査可能です。
無料サービスは、対象のURLを入力するだけで脆弱性を診断できるものが多くあります。一方で有料サービスは、Webサイトに関するセキュリティのプロが診断してくれるのが特徴です。
運営サイトの規模やセキュリティ対策の知識に合わせて、無料・有料を選びましょう。サイト規模が大きかったりセキュリティ対策に自信がなかったりする場合は有料サービスがおすすめです。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
脆弱性とはプログラム上の欠陥を表します。プログラムで構成されているWordPress本体やテーマ、プラグインは何かしらの欠陥が生まれやすいもの。バグがないプログラムを作成するのは不可能です。
Webサイトを攻撃から守るため、必ずセキュリティ対策を施しましょう。テーマなどを最新状態に更新したりログインパスワードを複雑に設定したりと、すぐに実行できる対策があります。
WordPressを狙った攻撃は増加傾向です。運営サイトが危険な状態に晒されていないか、定期的に脆弱性をチェックしてください。
脆弱性が見つかったらすぐにセキュリティ対策を実行し、安全にサイトを運営しましょう。
